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■ (54) Title: SECURITY-RELATED BUS AUTOMATION SYSTEM 

i (54) Bezeichnung: SICHERHEITSBEZOGENES AUTOMATISCERUNGSBUSSYSTEM 



(57) Abstract: The invention relates to a security-related automation system and a method for operating said system. In order to 
produce a security-related bus automation system which involves a minimum amount of hardware redundancy and which can be 
adapted to requirements in a flexible manner, the automation system comprises at least one security analyzer which is connected to 
the bus by means of an interface and which monitors the data flow via said bus, whereby the analyzer is configured in such a way that 
it can execute security-related functions. The automation system is characterized in that a standard control device controls at least 
one security-related output and the security analyzer is configured in such a way that it can monitor and/or process security-related 
data in the bus data flow. 

(57) Zusammenfassung: Die Erfindung betrifft ein sicherheitsbezogenes Automatisierungssystem und ein Verfahren zum Betrieb 
eines derartigen Systems. Urn ein sicherheitsbezogenes Automatisierungsbussystem bereitzustellen, welches mit einer geringen 
Hardware-Redundanz auskommt und flexibel an die jeweiligen Anfordernisse angepaBt werden kann, umfaBt das Automatisierungs- 
system zumindest einen Sicherheitsanalysator, der mittels einer Schnittstelle an den Bus angeschlosscn ist und den DatenfluB iiber 
den Bus mithort, wobei der Analysator zum Ausfilhren von sicherheitsbezogenen Funktionen eingerichtet ist. Das Automatisie- 



) rungssystem zeichnet sich dadurch aus, daB die Standardsteuereinrichtung zumindest ei 
► und der Sicherheitsanalysator zur Uberprufung und/oder zum Verarbeiten von sicherheitsbezogenen Daten im Busdatenstrom aus- 
* gebildetist. 
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Sicherheitsbezogenes Automatisierunasbussvstem 

5 Die Erfindung betrifft ein sicherheitsbezogenes 

Automatisierungsbudsystem nach dem Oberbegriff des Anspruchs 
1 und ein Verfahren zum Betrieb eines derartigen Systems. 

Steuer- und Dateniibertragungsanlagen haben aufgrund des damit 

10 moglichen hohen Automat isierungsgrades eine herausragende 
Stellung nicht nur in der industriellen Fertigung erlangt. 
Derartige Automatisierungssysteme weisen im allgemeinen 
zumindest Abschnitte oder Komponenten auf, an welche erhohte 
Anforderungen im Hinblick auf die Sicherhein zu stellen sind. 

15 Beispielsweise muS sichergestellt sein, daS bestimmte 

Maschinen innerhalb vorgegebener Betriebsparameter betrieben 
werden oder es mufi verhindert werden, dafi eine Maschine. 
.lauft, obwohl sich eine Person in deren Arbeitsbereich 
auf halt. In dieser Hinsicht darf beispielsweise eine 

20 Drehmaschine nicht eine vorgegebene Drehzahl uberschreiten 
oder sich nicht beim Betrieb eines Roboters eine Person im 
Aktionsradius des Roboters aufhalten. Weiterhin mu£ beim 
Betrieb eines Automatisierungssystems sichergestellt sein, 
daS bei einem Ausfall einer Komponente des Systems die Anlage 

25 nicht in einen undef inierten und damit nicht vorhersagbaren 
Zustand gerat . 



Ein Ansatz fur diese Problematik nach dem Stand der Technik 
besteht darin, insbesondere die sicherheitsrelevanten 
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Komponenten des Systems mehrkanalig, d.h. redundant 
aufzubauen. Beispielsweise kann in einem 
Automat isierungsbussystem vorgesehen sein, 

Sicherheitsbuskomponenten, d.h. z.B. Busteilnehmer , die einer 
5 sicherheitsrelevanten Maschine zugeordnet sind, doppelt 

auszufuhren. Gleichzeitig kann auch die zentrale Steuerung 
und der Bus mehrkanalig aufgebaut sein oder gar eine von der 
ProzeSsteuerung getrennte spezielle und unter Umstanden 
redundant aufgebaute Sicherheitssteuerung zur Steuerung der 

10 sicherheitsrelevanten Komponenten vorgesehen sein. Diese 

Sicherheitssteuerung fuhrt im wesentlichen die Verknupf ungen 
der sicherheitsbezogenen Eingangsinf ormationen durch und 
ubermittelt daraufhin, beispielsweise fiber einen 
Automatisierungsbus , sicherheitsbezogene Verknupf ungsdaten an 

15 Ausgangskomponenten. Die Ausgangskomponenten ihrerseits 

bearbeiten die empfangenen SicherheitsmaSnahmen und geben 
nach positiver Prufung diese an die Peripherie aus . Dariiber 
hinaus schalten sie ihre Ausgange in einen sicheren Zustand, 
wenn sie einen Fehler feststellen oder innerhalb einer 

20 vorgegebenen Zeitdauer keine gultigen Daten mehr empfangen 
haben . 

Der Einsatz von zwei Steuerungen im System, d.h. eine 
ProzeSsteuerung sowie der beschriebenen Sicherheitssteuerung 

25 hat jedoch einige Nachteile zur Folge . Gerade aufgrund 
steigender Anf orderungen an die Reaktionszeit von 
Automatisierungssystemen muS ein derartiges System haufig auf 
Sicherheitsinseln aufgeteilt werden. Weiterhin treten 
insbesondere bei mehrkanaligen Steuerungssystemen 

30 Synchronisationsprobleme auf, welche trotz prinzipiell 
intakter Anlage zu Ausfallen oder gar Zerstorungen von 
Maschinenteilen fuhren konnen. Weiterhin zieht der 
mehrkanalige Aufbau durch den vergroSerten Hardware -Auf wand 
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eine Erhohung der System- als auch der Wartungskosten nach 
sich. 

Aus DE 198 15 150 Al ist ein System bekannt , welches eine an 
5 den Bus angeschlossene Auswerteeinheit umfafit, die 

fortlaufend die uber das Bussystem ubertragenen Signale 
abhort und nur bei fehlerfreier Identif izierung von iiber das 
Bussystem ubertragenen Kodierungen ein Arbeitsgerat in 
Betrieb setzt. Hierzu werden die durch den Busteilnehmer an 
10 den Master gesendeten Eingangsdaten ausgewertet und im 

Ansprechen auf die Auswertung das Arbeitsgerat eingeschaltet 
Oder ausgeschaltet belassen. 

Ein derartiger Ansatz ist im Vergleich zur erstbeschriebenen 
15 Anlage nicht so kostenintensiv, er ist jedoch sehr unflexibel 
im Hinblick auf eine Erweiterung des Systems oder eine 
Anpassung der Anlage an andere Buskompcnenten . Weiterhin ist 
die Auswerteeinheit allein fur das Auslosen einer 
sicherheitsgerichteten Funktion zustandig, so daS zur 
20 Einhaltung hoher Sicherheitsanf orderungen die Auswerteeinheit 
zwingend redundant ausgefuhrt werden mufi. 

Aufgabe der Erfindung ist es somit, ein sicherheitsbezogenes 
Automatisierungsbussystem bereitzustellen, welches moglichst 
25 mit einer geringen Hardware- Re dundanz auskommt und flexibel 
an die jeweiligen Anf ordernisse angepaSt werden kann. 

Die Erfindung lost dieses Problem mit einem 
Automatisierungsbussystem mit den Merkmalen des Anspruchs 1 
30 sowie ein Verfahren zum Betrieb einer derartigen Steuer- und 
Datenverarbeitungsanlage nach Anspruch 14 . Weiterbildungen 
der Erfindung sind in den Unteranspruchen angegeben. 
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Erf indungsgemafi umfafit das Automat is ie rungs system ein 
Bussystem, daran angeschlossene Sensor- und Aktor- 
Busteilnehmer und eine S tandardsteue rungs e inr i cht ung , welche 
die ProzeSsteuerung tnit der Verarbeitung von prozeSgebundenen 
5 E/A-Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten, d.h. der 
Steuerung von sicherheitsbezogenen Ein- und Ausgangen, 
durchfuhrt. Weiterhin ist ein sogenannter 
Sicherheitsanalysator umfaSt, der mittels einer 

10 entsprechenden Schnittstelle an den Bus angeschlossen ist und 
den DatenfluS iiber den Bus mithort, wobei der Analysator zum 
Ausfiihren von sicherheitsbezogenen Funktionen eingerichtet 
ist. Dies betrifft beispielsweise die Ansteuerung eines 
Schutzes zum Abschalten der Versorgungsspannung von 

15 Systemkomponenten oder die Ermittlung von Qualitatsdaten. 

Derartige Qualitatsdaten konnen allgemeine Systemparameter, 
z.B. Daten iiber das Auftreten von Fehlem in 
Systemkomponenten oder Busiibertragungsf ehlern umfassen. Das 
Automatisierungssystem zeichnet sich dadurch aus, daS die 

20 Standardsteuereinrichtung zumindest einen 

sicherheitsbezogenen Ausgang iiber den Bus ansteuert, sie kann 
jedoch auch selbst einen derartigen sicherheitsbezogenen 
Ausgang aufweisen. Erf indungsgemaS bezeichnet ein 
sicherheitsbezogener Ausgang eine Senke einer 

25 Sicherheitsinf ormation, die in Abhangigkeit der Information 
sicherheitsgerichtete Ablaufe startet, beispielsweise eine 
Maschine herunterf ahrt oder gar durch Unterbrechen des 
Versorgungsstromes eine Maschine abschaltet. Der 
Sicherheitsanalysator ist im erf indungsgemaSen 

30 Automatisierungssystem zur Uberpriifung und/oder zum 

Verarbeiten von sicherheitsbezogenen Daten, insbesondere 
sicherheitsbezogenen Verkniipfungsdaten im Busdatenstrom 
ausgebildet. Dabei sind sicherheitsbezogene Verkniipfungsdaten 
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beispielsweise Daten, welche die sicherheitsbezogene 
Steuerung nach der Verarbeitung von sicherheitsbezogenen 
Daten an sicherheitsbezogene Ausgange sendet . 

5 Darait wird ein System bereitgestellt , welches extrem flexibel 
auf die jeweiligen Anf orderungen an das 
Automatisierungssystem eingestellt werden kann. 
Beispielsweise kann jeder Sicherheitsbuskomponente ein 
derartiger Sicherheitsanalysator zugeordnet oder auch ein 

10 Sicherheitsanalysator in die Sicherheitskomponente , 
beispielsweise einen Sicherheitsbusteilnehmer selbst 
integriert werden, es ist jedoch auch moglich, da£ ein 
einzelner Sicherheitsanalysator die Verarbeitung 
sicherheitsbezogener Daten oder die Uberpriifung der 

15 sicherheitsbezogenen Verkniipfungsdaten im Busdatenstrom fur 
mehrere Sicherheitsbuskomponenten oder gar alle 
Sicherheitsbuskomponenten des Systems vornimmt . 

Das Prinzip der Erfindung beruht auf der Erkenntnis des 
20 Erfinders, daS die in heutigen Automatisierungsanlagen 
eingesetzte Elektronik selbst nur selten ausfallt. Die 
Integration der aktuellen digitalen Sicherheitstechnik in die 
Automatisierungstechnik in Form von Sicherheitssteuerungen 
oder Sicherheitsbussystemen nach dem Stand der Technik hat 
25 haufig den Nachteil einer abnehmenden Verf iigbarkeit des 

Systems. Um diese Ausf allzeiten zu reduzieren, kommen deshalb 
neben den genannten Sicherheitskomponenten auch 
Verfugbarkeitsstrukturen zum Einsatz, die ihrerseits aber zu 
einer nicht unerheblichen Zunahme der Kosten durch den 
30 erhohten Hardware -Auf wand fuhren. 

Die Erfindung setzt deshalb auf der Zuverlassigkeit heutiger 
Automatisierungssysteme auf und integriert eine reine 
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Notfall-Elektronik bzw. -Software, die erst dann aktiv in den 
Betrieb der Anlage eingreift, wenn die Standardtechnik 
f ehlerhaf t arbeitet . Die Standardsteuerungseinrichtung 
verarbeitet deshalb auch sicherheitsbezogene Daten, d.h. sie 
steuert sicherheitsrelevante Ein- und Ausgange. Insbesondere 
die erzeugten sicherheitsbezogenen Verknupf ungsdaten im 
Busdatenstrom werden jedoch vom Sicherheitsanalysator 
abgehort und uberpriift. Dies hat fur den Anwender den 
Vorteil, daS eine strikte Trennung der Sicherheitstechnik und 
der Standardtechnik bei der Programmierung nicht mehr 
unbedingt notwendig ist. Das erf indungsgemafie 
Automatisierungssystem ist auf alle Systeme mit einem Bus, 
insbesondere auf Bussysteme mit Master-Slave- 
Buszugrif f sverf ahren anwendbar. Unabhangig von der Anordnung 
des Sicherheitsanalysators im Fernbus-Abschnitt kann dieser 
bei einem beispielhaf ten seriellen Bussystem nach EN 50 254 
alle IN-Daten auf dem Bus lesen, der Umfang der mithorbaren 
OUT-Daten hangt jedoch von der Anordnung des 
Sicherheitsanalysators im System ab. Die Bezeichnung 
Busdatenstrom bezeichnet dabei erf indungsgemafi alle liber dem 
Bus ubermittelte Inf ormationen, insbesondere auch die in 
einem Summenrahmen uber den Bus transportierten Daten. 

Urn den einschlagigen Sicherheitsanf orderungen zu geniigen, 
kann der Sicherheitsanalysator im Ansprechen auf die 
Uberpriifung und/oder die Verarbeitung von 
sicherheitsbezogenen Daten, insbesondere von 
Verknupfungsdaten im Busdatenstrom, die notwendigen 
sicherheitsbezogenen Funktionen auslosen. Hierbei kann der 
Sicherheitsanalysator sowohl auf OUT-Daten, d.h. 
Verkniipfungsdaten der Standardsteuereinrichtung reagieren als 
auch auf IN-Daten, d.h. Inf ormationen im Busdatenstrom, 
welche von einzelnen E/A-Busteilnehmern an die 
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Standardsteuereinrichtung gesendet wurden. 

Um einen Fehler in sicherheitsbezogenen Verkniipf ungsdaten, 
welche iiber den Bus transportiert werden, zu erkennen, kann 
5 der Sicherheitsanalysator eine frei programmierbare 

Logikeinrichtung aufweisen, in welcher die abgehorten Daten, 
insbesondere die abgehorten sicherheitsbezogenen Daten 
verarbeitet werden. Auf diese Weise kann der 
Sicherheitsanalysator durch das Nachbilden der 

1C sicherheitsbezogenen Verkniipfungen der Standardsteuerung 

deren als OUT-Daten iiber den Bus gesendeten Verkniipf ungsdaten 
iiberpriifen und itn Ansprechen auf die Oberpriifung Oder den 
Vergleich notwendige sicherheitsbezogene Funktionen 
ausfiihren. Um die Anlage beispielsweise in einen sicheren 

15 Zustand zu bringen, kann der Sicherheitsanalysator einen 

Ausgang umfassen, uber welchen eine Baugruppe, insbesondere 
ein Busteilnehmer des Automatisierungsbussystems ein- oder 
ausschaltbar ist. Die Abschaltung kann durch Trennen von der 
Spannungsversorgung realisiert werden. Um zusammenhangende 

20 bzw. voneinander abhangende Busteilnehmer in Gesamtheit in 
einen sicheren Zustand zu bringen, kann der 

Sicherheitsanalysator zur Abschaltung eines Busstichs, einer 
mehrere, einander zugeordnete Busteilnehmer umfassende 
Sicherheitsinsel oder zum Abschalten von Komponenten nach 
25 einer im Analysator abgelegten Verrieglungslogik eingerichtet 
sein. Es ist jedoch auch moglich, daE iiber den 
sicherheitsbezogenen Ausgang des Sicherheitsanalysators die 
Gesamtanlage von der Spannungsversorgung abgetrennt wird. 

30 Der Sicherheitsanalysator kann sicherheitsbezogene 

Inf ormationen neben dem Abhoren des Busses weiterhin iiber 
einen direkten Eingang erfassen, mittels welchem der 
Sicherheitsanalysator mit einer sicherheitsbezogenen 



WO 00/79352 



8 



PCT/DE00/01901 



Einrichtung des Automatisierungsbussystems verbunden ist. 
Diese Einrichtung kann dabei, mu£ aber nicht an den Bus 
angeschlossen sein. Beispielsweise umfaSt die so zugangliche 
sicherheitsbezogene Information die Momentandrehzahl der 
schon erwahnten Drehmaschine, wobei der Analysator im Falle 
des Uberschreitens einer vorbestimmten Grenzdrehzahl die 
Maschine mittels ihres Ausgangs abschaltet. 

Urn eine Trennung der sicherheitsbezogenen Inf ormationen und 
der ProzeSdaten im System und insbesondere in der Steuerung 
durchzufuhren, kann das Bussystem uber eine Anschaltbaugruppe 
mit einem Host verbunden sein, wobei die prozefibezogene 
Steuerung der Standardsteuereinrichtung im Host und die 
sicherheitsbezogene Steuerung der Standardsteuereinrichtung 
in der Anschaltbaugruppe angeordnet ist. Vorteilhaf terweise 
la£t sich die sicherheitsbezogene Steuerung beispielsweise in 
Form von Sof tware-Funktionsbausteinen, welche die notwendigen 
Verknupfungen der sicherheitsrelevanten E/A- Inf ormationen 
vornehmen, realisieren. 

Die sicherheitsbezogene Steuerung kann somit in gleicher 
Weise implementiert werden wie die Pro zefisteue rung . Bei der 
Codierung der sicherheitsbezogenen Verknupfungen ist der 
Programmierer ebenso wie bei der ProzeSsteuerung von der 
verwendeten Programmiersprache unabhangig. 

Die Verknupfungen auf dem Sicherheitsanalysator haben in etwa 
denselben Umfang wie die Verknupfungen auf dem Host 
beziehungsweise auf der Anschaltbaugruppe und konnen entweder 
in derselben oder aber in einer anderen Programmiersprache 
erstellt werden. Der Sicherheitsanalysator fiihrt zusatzlich 
einen Vergleich der Verknupfungen zwischen den Ergebnissen 
des Host -Systems beziehungsweise der Anschaltbaugruppe und 
seinen eigenen durch und startet beispielsweise beim 
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Auftreten von Ungleichheit sicherheitsgerichtete Funktionen. 

Das Abnahmeverf ahren eines solchen Systems kann erheblich 
einfacher erfolgen, als es bei den Systemen nach dem Stand 
5 der Technik der Fall ist . Die Anlage kann mit alien 

Sicherheitsverriegelungen in Betrieb genommen werden, ohne 
die Sicherheitstechnik aktiv geschaltet zu haben. Die 
notwendigen Verknupf ungen befinden sich dabei im Host -System 
oder in der Anschaltbaugruppe . Die Funktionsf ahigkeit der 

10 Anlage kann zunachst im Black-Box-Test untersucht werden. In 
einem zweiten Schritt wird dann die Sicherheitstechnik in 
Form der beziehungsweise des Sicherheitsanalysators (en) 
zugeschaltet . Da dort nur die Sicherheitsverknupf ungen, nicht 
aber die Prozefidatenverknupf ungen vorhanden sind, laSt sich 

15 nun der White-Box- Test schnell und iibersichtlich durchfuhren, 
wodurch sich die Abnahmezeiten erheblich reduzieren lassen. 
Da die sicherheitsbezogenen Verknupf ungsalgorithmen auch auf 
dem Host -System beziehungsweise der Anschaltbaugruppe 
ablaufen, ist ein Vergleich mit denen des Analysators schnell 

20 moglich. 

Wird der Bus als serieller Ringbus, beispielsweise als Bus 
gemaS EN 50254 ausgebildet, und ist ein Sicherheitsanalysator 
im Top-Level-Fernbus-Abschnitt des Automatisierungssystems 

25 angeordnet, so hat dieser Zugriff auf alle IN-Daten des 

Systems, da in dem bezeichneten System die Daten in einer 
hin- und in einer ruckfiihrenden Ubertragungsleitung durch 
jeden Busteilnehmer gefuhrt werden. Damit ist der Analysator 
in der Lage, ein auf die IN-Daten und die ihm zuganglichen 

30 Out -Daten beschranktes ProzeSabbild aufzubauen. 

Bei Bussystemen mit Linientopologie kann der 
Sicherheitsanalysator in der Regel an jedem Ort im Bussystem 
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alle Information mitlesen und damit ein vollstandiges 
Prozefiabbild anlegen. 

In einer vorteilhaf ten Ausfiihrungsf orm der Erfindung ist der 
Sicherheitsanalysator in einem seriellen Ringbussystem direkt 
nach dem Host oder der Anschaltbaugruppe angeordnet, so daS 
dieser ein vollstandiges Prozefiabbild aufbauen kann. Somit 
ist der Sicherheitsanalysator in der Lage jederzeit und in 
vollem Umfang sicherheitsgerichtete Daten, insbesondere 
sicherheitsgerichtete Verkniipf ungsdaten auf ihre Richtigkeit 
zu uberprufen beziehungsweise zu verarbeiten, da in diesem 
Fall der Analysator Zugriff auf alle In- und Out-Danen, d.h. 
alle Eingangs- und Ausgangsdaten besitzt. 

Ist der Sicherheitsanalysator in der Anschaltbaugruppe des 
beschriebenen seriellen Ringbussystems angeordnet, so kann 
die Funktion des Sicherheitsanalysators mittels einer 
Softwarekomponente in der Anschaltbaugruppe ausgefuhrt sein. 
Vorteilhafterweise weist die Anschaltbaugruppe hierbei einen 
sicherheitsbezogenen Ausgang auf, urn entsprechende 
sicherheitsgerichtete Funktionen, beispielsweise das 
Abschalten einer Versorgungsspannung mittels eines Schiitzes 
auszufiihren. 

Das Ausfiihren derartiger sicherheitsgerichteter Funktionen 
kann jedoch in einer besonderen vorteilhaf ten Ausfiihrungsf orm 
der Erfindung durch direkte Datenmanipulation des 
Busdatenstroms durch den Sicherheitsanalysatord realisiert 
werden. Das Manipulieren umfafit das Umschreiben, das 
Erganzen, das Einfiigen sowie das Substituieren sowohl von 
OUT-Daten als auch von IN-Daten des Busdatenstroms. Bei 
Kenntnis des Prozefiabbildes kann somit der 

Sicherheitsanalysator in weitreichender Form auf den Betrieb 
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des erf indungsgemafien Automatisierungssystems EinfluE nehmen 
und damit sicherstellen, daS die Anlage zu jedem Zeitpunkt in 
definierten Zustanden gehalten werden kann. Das Prinzip der 
Datenmanipulation kann weiterhin auch dazu benutzt werden, um 
einen in einem im Busstich angeordneten Sicherheitsanalysator 
im allgemeinen nicht zugangliche Busdatenstromanteile 
verfiigbar zu machen, indem ein im Fernbus angeordneter 
Sicherheitsanalysator die betreffenden Daten in Daten 
wandelt, welche in den betreffenden Busstich transportiert 
werden. Auf diese Weise ist eine direkte Datenverbindung 
zwischen Sicherheitsanalysatoren realisiert. 

Die Datenmanipulation durch einen Sicherheitsanalysator kann 
in einem nach dem Master-Slave-Prinzip arbeitenden Bussystem 
auch verwendet werden, um Daten zwischen zumindest zwei 
Slaves, insbesondere zwischen einzelnen Busteilnehmern, 
mittels einer Punkt-zu-Punkt-Verbindung iiber wenigstens einen 
Sicherheitsanalysator zu ubertragen, wobei der 
Sicherheitsanalysator Daten im Busdatenstrom umkopiert. Der 
Master ist bei dieser Daten-Verbindung je nach Lage der 
beiden Slaves im Bussystem unter Umstanden nicht eingebunden, 
so daS der Datentransport vollig unabhangig vom Busmaster 
realisiert wird. Eine derartige Datenverbindung zwischen zwei 
Slaves ist im ubrigen auch durch die Ausfuhrung einer 
Kopierfunktion durch den Busmaster moglich. Wahrend bei einem 
Sicherheitsanalysator als Mittler, wie vorstehend 
beschrieben, zumindest in bestimmten Fallen der Busmaster 
nicht in den Datentransport eingebunden ist, ist der 
Busmaster fur die zweite Form einer Punkt - zu-Punkt-Verbindung 
zwischen zwei Slaves zwingend notwendig. 

Das Austauschen von Daten zwischen zumindest zwei Slaves, 
beispielsweise zwischen einzelnen Busteilnehmern, mittels 
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einer Punkt - zu-Punkt -Verbindung kann weiterhin auch durch die 
Einbindung des Masters oder der Steuerung in die Ubertragung 
realisiert werden, wobei in diesem Fall der Master bzw. die 
Steuerung die Daten im Busdatenstrom umkopiert . 

5 

Zur Erhohung der Datensicherheit konnen die 

sicherheitsbezogenen Daten in einem Sicherheitsprotokoll uber 
den Bus iibertragen werden. Beispielsweise kann das 
Sicherheitsprotokoll zusatzlich zu dem Sicherheitsdatum das 
10 negierte Sicherheitsdatum, eine laufende Nummer, eine Adresse 
und/oder eine Dat ens icherungs information (CRC) umfassen. 

Die Flexibilitat des Systems zeigt sich insbesondere in einer 
weiteren vorteilhaf ten Ausfuhrungsf orm der Erfindung, bei 

15 welcher das erf indungsgemafie Automatisierungssystem mehrere 
Sicherheitsanalysatoren umfafit, wobei in einem 
Sicherheitsanalysator ablaufende sicherheitsbezogene 
Verkniipfungen redundant in wenigstens einem weiteren 
Sicherheitsanalysator durchgefuhrt werden und durch beide 

20 Sicherheitsanalysatoren zumindest teilweise die gleichen 

Sicherheitsfunktionen ausgefiihrt und ausgelost werden. Dabei 
konnen die betreffenden Sicherheitsanalysatoren zusatzlich zu 
den redundant en, d.h. auf beiden Analysatoren ablaufenden 
Verkniipfungen auch unterschiedliche sicherheitsbezogenen 

25 Verkniipfungen ausfiihren. 

Die Erfindung wird im folgenden durch das Beschreiben einiger 
Ausfiihrungsformen unter Zugrundelegen der Zeichnungen 
erlautert, wobei 
30 Fig. 1 in einer Prinzipdarstellung eine erste 

Ausfiihrungsform des erf indungsgemaSen 

Automatisierungssystems mit zwei 

Sicherheitsanalysatoren im Fernbus-Abschnitt zeigt, 
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Fig. 2 in einer Prinzipskizze eine weitere Ausf uhrungsform 
der Erfindung darstellt, wobei ein 
Sicherheitsanalysator direkt hinter der 
Anschaltbaugruppe angeordnet ist, 

Fig. 3 das erf indungsgemafie Automatisierungssystem in 
einer Prinzipskizze mit einem in die 
Anschaltbaugruppe integrierten 
Sicherheitsanalysator sowie einem zweiten 
Sicherheitsanalysator am Kopf eines Busstichs 
zeigt , 

Fig. 4 ein erf indungsgemaSes Automatisierungssystem mit 

zwei Sicherheitsanalysatoren darstellt, wobei deren 

Ausgange mitemander verbunden sind, 
Fig. 5 in einer prinzipiellen Blockbilddarstellung einen 

Sicherheitsanalysator mit verschiedenen Ein- und 

Ausgangen zeigt und 
Fig. 6a und 6b in einer Prinzipdarstellung die 

Datenmanipulation des Busdatenstroms durch den 

Sicherheitsanalysator zeigt. 

In Fig. 1 ist in einer Prinzipdarstellung das 
erf indungsgemafie Automatisierungssystem 1, d.h. eine Steuer- 
und Datemibertragungsanlage gemaS der Erfindung dargestellt. 
Es umfaSt einen Bus 2, an welchen E/A-Busteilnehmer mit 
zugeordneten Sensoren und Aktoren angeschlossen sind. Eine 
Standardsteuerungseinrichtung 4 fuhrt uber den Bus die 
ProzeSsteuerung mit der Verarbeitung von prozeSgebundenen 
E/A-Daten durch. Hierzu empfangt die Steuerung 4 Daten von 
den einzelnen Busteilnehmern 31 - 38, die wiederum selbst von 
der Standardsteuerungseinrichtung Daten empfangen. Weiterhin 
ist die Standardsteuerungseinrichtung mit der Verarbeitung 
von sicherheitsbezogenen Daten bef aSt . In diesem Sinne 
iibernimmt die Standardsteuerungseinrichtung neben den 
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prozefigebundenen Ein- und Ausgangen auch die Verarbeitung der 
sicherheitsrelevanten Ein- und Ausgange. Gemafi der Erfindung 
bezeichnet ein sicherheitsbezogener Eingang eine 
Inf ormationsquelle, wobei die durch die Quelle abgegebene 
Information in irgendeinem Zusammenhang zur Sicherheit des 
erf indungsgemafien Automatisierungssystems steht . 
Beispielsweise ist der Drehzahl sensor einer Drehmaschine, 
welche uber einen Busteilnehmer 32 an den Bus 2 angeschlossen 
ist, ein derartiger sicherheitsrelevanter Eingang, da die 
Maschine nicht liber eine vorgegebene Grenze drehen darf . Ein 
weiteres Beispiel fur einen sicherheitsbezogenen Eingang in 
der beschriebenen Ausfuhrungsf orm der Erfindung ist ein 
Photodetektor einer Lichtschranke, mit welcher der 
Arbeitsbereich der Drehmaschine uberwacht wird. Auch in 
diesem Fall besitzt die Standardsteuerungseinrichtung uber 
den Bus Zugriff auf die Information des sicherheitsbezogenen 
Eingangs. Nach der Verarbeitung der sicherheitsbezogenen 
Daten, beispielsweise in Form einer logischen Verknupfung 
sendet die Steuerungseinrichtung 4 diese sicherheitsbezogenen 
Verknupfungsdaten an sicherheitsbezogene Ausgange. 
Beispielsweise kann die Standardsteuerungseinrichtung einen 
Abschaltbefehl fur die erwahnte Drehmaschine uber den Bus zum 
zugeordneten Busteilnehmer 32 absenden, wenn die 
Hochstdrehzahl uberschritten wurde und damit eine Gefahr 
besteht, daS die Anlage auSer Kontrolle gerat . Auch in diesem 
Fall kommuniziert die sicherheitsbezogene Steuerung in der 
Standardsteuerungseinrichtung uber den Bus mit dem 
sicherheitsbezogenen Ausgang. 

Das erf indungsgemaSe Automatisierungssystem umfaSt ferner 
zwei Sicherheitsanalysatoren 5, 5\ welche jeweils mittels 
einer Schnittstelle den Datenflufi uber das Bussystem in 
Echtzeit mithoren. Die Sicherheitsanalysatoren sind zum 
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Verkmipfen und/oder Verarbeiten von sicherheitsbezogenen 
Daten im Busdatenstrom eingerichtet . Dies bedeutet, daS sie 
sicherheitsbezogene Verknupfungen der 

Standardsteuerungseinrichtung nachvollziehen konnen, da ihnen 
5 die uber den Bus transport ierten sicherheitsbezogenen Daten 
zuganglich sind. 

Hierzu weisen die Sicherheitsanalysatoren 5, 5' jeweils eine 
frei programmierbare Logikeinrichtung auf, in welcher die 

10 abgehorten Daten, insbesondere die abgehorten 

sicherheitsbezogenen Daten verarbeitet werden. Beispielsweise 
konnen die Sicherheitsanalysatoren 5, 5' durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der Standardsteuerung 
deren als Ausgangsdaten uber den Bus gesendeten 

15 Verkniipfungsdaten iiberprufen. In vorliegendem Fall beziehen 
sich die sicherheitsbezogenen Verknupfungen auf einen 
einzelnen Busteilnehmer 32. In diesetn Fall ist der 
Sicherheitsanalysator 5 fur die sicherheitsbezogenen Ein- 
bzw. Ausgange, welche diesen Busteilnehmer zugeordnet sind, 

20 zustandig. In der in Fig. 1 dargestellten Ausfuhrungsf orm der 
Erfindung sind die Sicherheitsanalysatoren 5 bzw. 5' keine 
logischen Busteilnehmer des Automatisierungssystems . Der 
Sicherheitsanalysator 5 weist jedoch einen 
sicherheitsbezogenen Ausgang 6 auf, uber welchen der dem 

25 Sicherheitsanalysator zugeordnete Busteilnehmer 3 2 

ausgeschaltet werden kann. Dies geschieht mittels einer 
Schaltung eines Schutzes 7, welcher den Busteilnehmer bzw. 
die angeschlossenen Baugruppen und Maschinen von der 
Versorgungsspannung trennt. Auf diese Weise fiihrt der 

30 Sicherheitsanalysator 5 im Ansprechen auf die Uberpriifung 
Oder den Vergleich eine sicherheitsbezogene Funktion, hier 
das Abschalten der Versorgungsspannung aus . Wenn 
beispielsweise ein Fehler der sicherheitsbezogenen 
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Verkniipfungsdaten aus der Standardsteuereinrichtung erkannt 
wird, kann der Sicherheitsanalysator uber den beschriebenen 
Ausgang den betroffenen Busteilnehmer abschalten, da die 
sicherheitsbezogene Steuerung durch die 
Standardsteuerungseinrichtung nicht mehr vorgabegemafi 
arbeitet. In ahnlicher Weise wird ein Busteilnehmer 
abgeschaltet , wenn die sicherheitsbezogene Steuerung nicht 
notwendige Daten an den Busteilnehmer sendet und 
inf olgedessen Gefahr besteht, daS die Anlage in einen 
undef inierten Zustand gerat . 

In der beschriebenen Ausfuhrungsf orm ist iiber einen 
Buskoppler 9 ein Lokalbusstich 8 mit drei Busteilnehmern 33, 
34 und 3 5 angeordnet. Diese Busteilnehmer sind von der 
Funktionf ahigkeit und vom Betrieb des Busteilnehmers 32 
abhangig, welcher dem Sicherheitsanalysator 5 zugeordnet ist. 
Demnach ist es notwendig, beim Abschalten des Busteilnehmers 
32 auch die Busteilnehmer des Lokalbusstichs 8 von der 
Versorgungsspannung zu trennen. Diese Verrieglungslogik ist 
im Sicherheitsanalysator 5 abgelegt. Somit sind insgesamt 
vier Busteilnehmer mit ihren nachgeordneten Baugruppen und 
Maschinen abzuschalten, was in Fig. 1 schematisch durch einen 
Vierfach-Schutz 7 dargestellt ist. 

Der Sicherheitsanalysator 5 ' ist wie der erste 
Sicherheitsanalysator 5 zum Abhoren der iiber den Bus 
transportierten Daten eingerichtet . Im Gegensatz zum ersten 
Sicherheitsanalysator 5 weist er jedoch keinen Ausgang auf, 
mit welchem er sicherheitsbezogene Funktionen ausfiihren kann. 
Statt dessen umfaSt er einen sicherheitsbezogenen Eingang 10, 
uber welchen der Sicherheitsanalysator mit einer 
sicherheitsbezogenen Einrichtung 11 des 
Automatisierungssystems zur Erfassung von 
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sicherheitsbezogenen Daten verbunden ist. Im vorliegenden 
Fall umfaSt diese Einrichtung 11 einen Photodetektor , welcher 
als Teil einer Lichtschranke den Arbeitsbereich eines 
SchweiSroboters iiberwacht. Der Sensor ist nicht mittels eines 
5 Busteilnehmers an den Automatisierungsbus angeschlossen, 

sondern direkt an den Sicherheitsanalysator 5 ' . Im Ansprechen 
auf die uber den sicherheitsbezogenen Eingang 10 des 
Sicherheitsanalysators 5' erfaSten sicherheitsbezogenen Daten 
fuhrt auch hier der Sicherheitsanalysator eine 

10 sicherheitsbezogene Funktion aus . Wird durch den 

Photodetektor 11 das Eindringen einer Person in den 
Arbeitsbereich des Roboters erfalSt, so schaltet der 
Sicherheitsanalysator 5' den entsprechenden Busteilnehmer 38 
und seine zugeordneten Baugruppen und den Roboter selbst aus. 

15 Hierzu weist der Sicherheitsanalysator 5 ' eine Einrichtung 
zum Manipulieren der auf den Bus ubertragenen Eingangs- und 
Ausgangsdaten auf. Dabei kann zumindest ein Datum des 
Datenstroms uberschrieben, geloscht und/oder zumindest ein 
Datum in den Busdatenstrom eingefugt werden. Ein derartiger 

20 Vorgang ist in den Fig. 6a und 6b veranschaulicht . Diese 

Figuren zeigen das Veranden von Eingangs- bzw. Ausgangsdaten 
der Standardsteuereinrichtung 4 durch den 
Sicherheitsanalysator 5'. In beiden Fallen wird eine 
Informationseinheit 12 in einen Speicher des 

25 Sicherheitsanalysators eingelesen und daraufhin an die 

entsprechende Stelle des Datenstroms eine aus einem anderen 
Speicher des Sicherheitsanalysators entnommene 
Informationseinheit eingeschrieben. Die Abschaltung des 
Busteilnehmers und der daran angeschlossenen Baugruppen und 

30 damit des Roboters kann sowohl uber die Manipulation der 
Eingangsdaten als auch uber die Manipulation der 
Ausgangsdaten der Standardsteuereinrichtung vorgenommen 
werden. Wird beispielsweise der Eingangsdatenstrom derartig 
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verandert, daS der Standardsteuerungseinrichtung 4 ein 
Betriebsparameter auSerhalb der vorgegebenen Grenzen gemeldet 
wird, so schaltet die Standardsteuerungseinrichtung uber den 
Bus mittels eines dem bestimmten Busteilnehmer 3 8 
5 ubermittelten sicherheitsbezogenen Verknupf ungsdatums diesen 
Busteilnehmer und damit den SchweiSroboter ab . In gleicher 
Weise kann der Sicherheitsanalysator eine Freigabe durch 
Standardsteuereinrichtung mittels Uberschreiben des 
entsprechenden Ausgangsdatums riickgangig machen. 

10 

Fig. 6b zeigt den Fall, daS der Sicherheitsanalysator den 
Ausgangsdatenstrom auf dem Bus verandert. In diesem Fall 
manipuliert der Sicherheitsanalysator die an den 
Busteilnehmer 38 gesendeten Daten derartig, daS der 
15 Busteilnehmer seinen Ausgang und damit auch den 
SchweiSroboter abschaltet. 

Fig. 2 zeigt eine weitere Ausfuhrungsf orm der Erfindung. 
Dabei ist der Bus ein nach dem Master-Slave-Prinzip 

20 arbeitendes System, wobei die Standardsteuerungseinrichtung 
als Master und die einzelnen Busteilnehmer als Slaves 
fungieren. Das Bussystem ist uber eine Anschaltbaugruppe 41 
mit einem Host 40 verbunden, wobei die prozeSbezogene 
Steuerung im Host und die sicherheitsbezogene Steuerung in 

25 der Anschaltbaugruppe angeordnet ist bzw. ablauft. Die Anlage 
umfaEt einen einzelnen Sicherheitsanalysator 5, der direkt 
hinter die Anschaltbaugruppe zum Abhoren des Busdatenstroms 
an dem Bus angekoppelt ist. Durch diese Mafinahme wird 
sichergestellt , dafi der Sicherheitsanalysator an dem 

30 seriellen Bus mit Ringstruktur den gesamten Eingangs- als 
auch den gesamten Ausgangs-Datenstrom auf dem Bus abhoren 
kann. Aufgrund der Erkenntnis des gesamten Datenstroms uber 
den Bus legt der Sicherheitsanalysator 5 in der beschriebenen 
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Ausf uhrungsf orm ein vollstandiges ProzeSabbild in einem dafiir 
vorgesehenen Speicher ab. Demzufolge ist der 
Sicherheitsanalysator in der Lage, die Gesamtheit der 
sicherheitsbezogenen Verkniipf ungsdaten der 
5 sicherheitsbezogenen Steuerung in der Anschaltbaugruppe zu 

iiberpriifen und bei Bedarf, d.h. beim Auftreten eines Fehlers, 
den Ausgang 6 zum Abschalten der Gesamtanlage mittels des 
Schiitzes 7 sicherheitsgerichtet derart anzusteuern, dafi die 
Versorgungsspannung fur die Gesamtanlage ausgeschaltet wird. 

10 

Eine Modifikation der in Fig. 2 dargestellten Ausf uhrungsf orm 
zeigt das erf indungsgema.Ee Automatisierungssystem in Fig. 3. 
Der Sicherheitsanalysator 5 ist hier in die Anschaltbaugruppe 
41 integriert. Die sicherheitsbezogene Steuerung der 
15 Standardsteuerungseinrichtung als auch die 
sicherheitsbezogene Datenverarbeitung des 

Sicherheitsanalysators laufen in der Anschaltbaugruppe in 
getrennten und unabhangigen Logikbausteinen ab. Weiterhin ist 
ein zweiter Sicherheitsanalysator 5'' am Kopf des 

20 Lokalbusstichs 8 angeordnet . Diese Anordnung bedingt 

wiederum, daS der Sicherheitsanalysator 5 ' ' die Gesamtheit 
aller Eingangs- als auch der Ausgangsdaten fur die 
Busteilnehmer 33, 34 und 35 des Lokalbusstich 8 abhoren kann 
und demgema.fi. ein vollstandiges ProzeSabbild fur den 

25 ProzeSablauf innerhalb des Lokalbusstichs anzulegen. Der 
Sicherheitsanalysator 5 1 ' ist somit wie der 

Sicherheitsanalysator 5 im Fernbus-Abschnitt in der Lage, die 
Gesamtheit der sicherheitsbezogenen Verkniipf ungsdaten der 
sicherheitsbezogenen Steuerung fur den Lokalbusabschnitt in 
30 der Anschaltbaugruppe zu uberpriifen und bei Bedarf wie oben 
stehend beschrieben, iiber eine Datenmanipulation die 
notwendigen sicherheitsbezogenen Funktionen auszulosen. Auf 
diese Weise lassen sich hochste Sicherheitsanf orderungen, die 
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an die im Busstich 8 vorliegenden sicherheitsrelevanten Ein- 
und Ausgange gestellt sind, erfullen, da der Lokalbusstich 8 
sowohl durch die sicherheitsbezogene Steuerung der 
Standardsteuereinrichtung als auch durch den 
5 Sicherheitsanalysator 5 und durch den Sicherheitsanalysator 
5'' abgesichert ist. 

Eine weitere Ausf uhrungsf orm der Erfindung zeigt Fig. 4. Das 
erf indungsgemaSe Automatisierungssystem umfaSt zwei 

10 Sicherheitsanalysatoren 5 und 5', deren sicherheitsbezogenen 
Ausgange 6 und 6' miteinander gekoppelt sind. Beide Ausgange 
steuern eine Vielf ach-Schvitzeinrichtung 7 zum Abschalten der 
Versorgungsspannung fur das Gesamt system. Die Anlage wird 
durch eine Standardsteuerungseinrichtung 4 iiber den seriellen 

15 Bus 2 gesteuert . Der Sicherheitsanalysator 5 kann auf grund 

seiner Anordnung im System die Gesamtheit aller Eingangs- und 
Ausgangsdaten auf dem Bus abhoren, ausgenommen die 
Eingangsdaten des ersten Busteilnehmers 31, der zwischen der 
Steuerungseinrichtung 4 und dem Sicherheitsanalysator 5 

20 angeordnet ist. Der Sicherheitsanalysator 5' kann alle 

Eingangsdaten am Bus abhoren, alle Ausgangsdaten auSer die 
fur den letzten Busteilnehmers sind ihm jedoch nicht 
zuganglich. Der erste Sicherheitsanalysator 5 ist deshalb 
durch Umkopieren der betreffenden Daten im BusdatenfluS in 

25 der Lage, die ihm zuganglichen Ausgangsdaten in Eingangsdaten 
umzukopieren und somit die dem Sicherheitsanalysator 5 ' 
eigentlich nicht zuganglichen Ausgangsdaten zum Anlegen eines 
ProzeSabbildes fur den abzusichernden sicherheitsbezogenen 
Busteilnehmer 32 auch dem Sicherheitsanalysator 5' verfiigbar 

30 zu machen. Da beide Sicherheitsanalysatoren dieselbe 

Eingangsinf ormation erhalten, konnen sie sich im Hinblick auf 
die sicherheitsbezogenen Ein- bzw. Ausgange des 
abzusichernden Busteilnehmers 32 uberwachen. Auf diese Weise 
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ist eine verteilte Redundanz der Sicherheitstechnik im 
erf indungsgemaSen Automatisierungssystem realisiert. Im 
vorliegenden Beispiel weist der Sicherheitsanalysator 5' 
weiterhin einen sicherheitsbezogenen Eingang 10 auf, an 
5 welchen ein Notschalter 13 angeschlossen ist. Auf das 
SchlieSen des Notschalters 13 spricht der 

Sicherheitsanalysator 5' mit der im Sicherheitsanalysator 
zugeordneten sicherheitsbezogenen Funktion an, namlich dem 
Offnen des Schiitzes 7 zur Abschaltung der Gesamtanlage . 

10 

Das beschriebene Verfahren des Umkopierens von Eingangsdaten 
in Ausgangsdaten und umgekehrt wird erf indungsgemaS auch dazu 
benutzt, um eine Datenverbindung in dem nach dem Master- 
Slave-Prinzip arbeitenden Automatisierungssystem zwischen 

15 zwei Slaves zu realisieren ohne daS der Master fur die 

Datenubermittlung benotigt wird. Hierbei kann beispielsweise 
ein einem Busteilnehmer zugeordneter Sicherheitsanalysator 
das zu ubermittelnde Datum des Busteilnehmers in den 
Eingangs-Datenstrom einfiigen und somit einem nachf olgenden 

20 Busteilnehmer ohne die Beanspruchung des Masters zur 

Verfiigung stellen. Auf diese Weise lafit sich bei Bedarf auch 
auf einfache Weise ein Multi- oder Broadcast der Information 
zu alien ubrigen nachf olgenden Busteilnehmern verwirklichen . 

25 In einer nichtdargestellten Ausfuhrungsf orm der Erfindung ist 
der Sicherheitsanalysator in einem zugeordneten 
sicherheitsgerichteten Busteilnehmer integriert . Die 
sicherheitsgerichteten Verkniipfungen laufen dabei in einer 
Logikeinheit des Busteilnehmers ab, somit laEt sich im 

30 Busteilnehmer eingebaute Intelligenz fur die 

sicherheitsgerichteten Verkniipfungen nutzen. Da der 
Busteilnehmer eine Busschnittstelle aufweist, veringert sich 
der zusatzliche Hardwareaufwand fur den Sicherheitsanalysator 
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betrachtlich. 

Bei der Dateniibertragung in den beschriebenen 
erf indungsgemaSen Automatisierungssystemen werden zumindest 
5 teilweise die sicherheitsbezogenen Daten in einem 

Sicherheitsprotokoll uber den Bus iibertragen. Dieses 
Sicherheitsprotokoll kann je nach Anforderung zusatzlich zum 
Sicherheitsdatum das negierte Sicherheitsdatum, eine Adresse 
und/oder eine Datensicherungsinf ormation in Form eines CRC 
10 umfassen. Auf diese Weise lassen sich Fehler bei der 

Dateniibertragung leicht erkennen. Zu diesem Zweck wird ein im 
erf indungsgemafien Automatisieruncssystem verwendeter 
Sicherheitsanalysator derartig eingerichtet , dafi er das 
Sicherheitsprotokoll lesen und entsprechend auswerten kann. 

15 

Mittels der im Sicherheitsprotokoll ubertragene Adresse des 
Sicherheitsbusteilnehmers kann der Sicherheitsanalysator bei 
geandertem Busaufbau, beispielsweise durch 
sicherheitsbezogene Abschaltung der Komponente, eine 

20 Anpassung der Programmierung vornehmen bzw. den Datensatz des 
ihm zugeordneten Teilnehmers erkennen und die Veranderung des 
Busaufbaus berucksichtigen. Zusatzlich kann durch die 
Aufnahme der Adresse in das Sicherheitsprotokoll ein 
Ablagefehler durch einen Busfehler oder einen Ausfall einer 

25 dezentralen Einheit erfafit werden. 

Eine besondere Ausf iihrungsf orm eines Sicherheitsanalysators 
zur Verwendung im erf indungsgemaSen Automatisierungssystem 
zeigt Fig. 5. Der dargestellte Sicherheitsanalysator 5 weist 
30 sowohl 4 sicherheitsgerichtete Eingange 10 zur Erfassung 

sicherheitsgerichteter Information von Photodetektoren 11 als 
auch 4 sicherheitsgerichtete Ausgange 6 zum Abschalten der 
Versorgungsspannung von 4 Automatisierungsbuskomponenten 
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durch Schutze auf. Die verschiedenen sicherheitsgerichteten 
Ausgange 6 werden dabei im Ansprechen auf die im 
Sicherheitsanalysator ablaufenden Verkniipf ungen, den 
Vergleich mit sicherheitsgerichteten Verkniipf ungen der 
5 Standardsteuerung und/oder eine sicherheitsbezogene 

Eingangsinformation iiber den Eingang 10 angesteuert. Hierbei 
ist eine Verrieglungslogik im Sicherheitsanalysator abgelegt, 
die vorgibt, welche sicherheitsgerichteten Funktionen beim 
Auftreten eines bestimmten Fehlers ausgeldst werden, d.h. 
10 welche Komponenten beim Auftreten des Fehlers von der 
Versorgungsspannung abgetrennt werden miissen. 

Es liegt im Rahmen der Erfindung, dafi ein 
Sicherheitsanalysator neben der Verarbeitung von 
15 sicherheitsbezogenen Daten auch eine ProzeSdatenverarbeitung 
durchf uhrt . 

Weiterhin ist f estzuhalten, daS das Prinzip der Erfindung 
nicht auf die in den Ausf iihrungsbeispielen dargestellten 
20 Automatisierungsbussysteme beschrankt ist, sondern statt 
dessen auf alle Automatisierungsanlagen mit einem Bus 
angewendet werden kann. 
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Patentanspruche : 

1. Automatisierungssystem (1), zumindest umfassend 

ein Bussystem (2) , daran 

angeschlossene E/A-Busteilnehmer (31-38) und 
eine Standardsteuerungseinrichtung (4; 40, 41), 
sowie wenigstens 

einen Sicherheitsanalysator (5, 5', 5 11 ), 
welcher den Datenflufi uber das Bussystem mithort und 
zum Ausfuhren zumindest einer sicherheitsbezogenen 
Funktion ausgebildet ist, 
dadurch gekennzeichnet, daS 

die Standardsteuerungseinrichtung zumindest einen 
sicherheitsbezogenen Ausgang steuert und daS 
der Sicherheitsanalysator zum Uberprufen und/oder 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist. 

2. Automatisierungssystem (1) nach Anspruch 1, 
dadurch gekennzeichnet , daS der Sicherheitsanalysator 
(5, 5\ 5") eine frei programmierbare Logikeinrichtung 
aufweist, welche die abgehorten Daten, insbesondere die 
abgehorten sicherheitsbezogenen Daten verarbeitet . 

3. Automatisierungssystem (1) nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5\ 5 W ) kein logischer 
Busteilnehmer des Automatisierungssystems (1) ist und 
dieser zumindest einen sicherheitsbezogenen Ausgang (6) 
aufweist, \iber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete Baugruppe des 
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Automatisierungssystems, insbesondere wenigstens ein 
Busteilnehmer (31-38), ein- oder ausschaltbar ist. 

4. Automat isierungssystem (1) nach Anspruch 3, 
dadurch gekennzeich.net , dafi 

der Sicherheitsanalysator (5, 5\ 5" x ) zur Abschaltung 
einer Sicherheitsinsel , eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist. 

5. Automatisierungssystem (1) nach einem der Anspriiche 1 
bis 4, dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5 1 ) zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, iiber welchen 
der Sicherheitsanalysator mit einer sicherheitsbezogenen 
Einrichtung (11) des Automatisierungssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

6. Automatisierungssystem (1) nach einem der Anspriiche 1 
bis 5, dadurch gekennzeichnet, dafi 

das Bussystem (2) iiber eine Anschaltbaugruppe (41) mit 
einem Host (40) verbunden ist, 

wobei die prozeSbezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist . 

7. Automatisierungssystem (1) nach einem der Anspriiche 1 
bis 6, dadurch gekennzeichnet, daS 

der Bus (2) ein serieller Bus ist und zumindest ein 
Sicherheitsanalysator .(5, 5M im Fernbus-Abschnitt des 
Automatisierungssystems angeordnet ist. 

8. Automatisierungssystem (1) nach Anspruch 7, 
dadurch gekennzeichnet, daS 
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ein Sicherheitsanalysator (5) direkt nach dem Host (40) 
oder der Anschaltbaugruppe (41) angeordnet ist . 

9. Automatisierungs system (1) nach einem der Anspruche 1 
bis 8, dadurch gekennzeich.net , dafi 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist. 

10. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 9, dadurch gekennzeichnet , dafi der 
Sicherheitsanalysator (5, 5 1 , 5' 1 ) eine 
Speichereinrichtung zum Anlegen eines Prozefiabbildes 
umf afit . 

11. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 10, 

dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5, 5', 5") eine Einrichtung 
zum Manipulieren des auf dem Bus (2) iibertragene 
Datenstroms, insbesondere der Eingangs- und/oder 
Ausgangsdaten, aufweist. 

12. Automatisierungssystem (1) nach Anspruch 11, 
dadurch gekennzeichnet, daS 

die Einrichtung Eingangs- und/oder Ausgangsdaten 
uberschreibt und/oder Daten in den Datenstrom einfugt. 

13. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 12, 

dadurch gekennzeichnet, dafi 

zumindest ein Sicherheitsanalysator (5, 5', S 11 ) 
redundant aufgebaut ist. 



WO 00/79352 



27 



PCT/DEOO/01901 



14. Verfahren zum Betrieb einer Automatisie rungs systems, 
insbesondere eines Automatisierungssystems (1) nach 
einem der Anspruche 1 bis 13, 

dadurch gekennzeich.net , dafi durch die 
Standardsteuerungseinrichtung (4; 40, 41) die 
ProzeSsteuerung mit der Verarbeitung von 
prozefigebundenen E/A-Daten und eine sicherheitsbezogene 
Steuerung mit der Verarbeitung von sicherheitsbezogenen 
Daten durchgefuhrt wird und weiterhin eine Verarbeitung 
sicherheitsbezcgener Daten auf zumindest einem 
Sicherheitsanalysator (5, 5\ 5 W ) durchgefuhrt wird, 
wobei im Sicherheitsanalysator sicherheitsbezogene 
Daten, insbesondere sicherheitsbezogene 
Verknupfungsdaten im Busdatenstrom verarbeitet werden. 

15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet , daS 

in einem Sicherheitsanalysator (5, 5', 5 (1 ) ein 
Vergleich der uber den Bus iibertragenen 
sicherheitsbezogenen Verknupfungsdaten der 
Standardsteuerungseinrichtung (4, 41) und/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5\ 5"') mit 
den entsprechenden Verknupfungsdaten des ersten 
Sicherheitsanalysators durchgefuhrt wird. 

16. Verfahren nach einem der Anspruche 14 oder 15, 
dadurch gekennzeichnet, daS 

die durch die Standardsteuerung (4, 41) erzeugten und 
als Ausgangsdaten liber den Bus gesendeten 
Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator (5, 5', 5 ,v ) durch Nachbilden der 
sicherheitsbezogenen Verknupf ungen der 
Standardsteuerung (4, 41) uberpruft werden. 
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17. Verfahren nach einem der Anspriiche 14 bis 16, 
dadurch gekennzeichnet , daS 

im Ansprechen auf die Uberpriifung oder den Vergleich 
durch den Sicherheitsanalysator (5, 5*, 5 W ) 
sicherheitsbezogene Funktionen ausfiihrt werden. 

18. Verfahren nach einem der Anspriiche 14 bis 17, 
dadurch gekennzeichnet, da£ 

im Ansprechen auf die iiber den sicherheitsbezogenen 
Eingang (10) des Sicherheitsanalysators (5 1 ) erfaSten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfiihrt. 

19. Verfahren nach Anspruch 18, 
dadurch gekennzeichnet, dafi 

das Ausfiihren einer sicherheitsbezogenen Funktion das 
Ein- oder Ausschalten zumindest einer Baugruppe des 
Automatisierungsbussystems, insbesondere eines 
Busteilnehmers (32-38) umf aSt . 

20. Verfahren nach einem der Anspriiche 14 bis 19, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5' ; 5 ,( ) mittels einer 
Einrichtung zum Manipulieren des Datenstroms auf dem Bus 
(2) zumindest ein Datum des Datenstroms iiberschreibt , 
loscht und/oder zumindest ein Datum in den Bus- 
Datenstrom einfiigt. 

21. Verfahren nach der Anspruch 20, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5 X , 5 ,x ) den abgehorten 
Datenstrom zumindest teilweise abspeichert und 
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Eingangsdaten des Bus-Datenstroms in Ausgangsdaten des 
Bus-Datenstroms, und umgekehrt , umkopiert. 

22. Verfahren nach einem der Anspruche 14 bis 21, 
dadurch gekennzeichnet , daS 
sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll iiber den Bus (2) iibertragen 
werden . 

23. Verfahren nach Anspruch 22, 
dadurch gekennzeichnet, daS 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungsinf ormation 
(CRC) umfafit. 

24. Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, daE 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung iiber wenigstens einen 
Sicherheitsanalysator (5, 5\ 5 ,x ) iibertragen werden, 
wobei der Sicherheitsanalysator Daten im Busdatenstrom 
umkopiert . 

25. Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet, daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
System ist, wobei Daten zwischen zumindest zwei Slaves, 
insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung iiber die Steuerung oder 
den Master iibertragen werden, wobei die Steuerung bzw. 
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der Master Daten im Busdatenstrom urakopiert. 

26. Verfahren nach einem der Anspruche 14 bis 25, 
dadurch gekennzeichnet , daS 

mittels eines Sicherheitsanalysators (5, 5', 5 1 ') 
Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitung durchgefuhrt 
werden . 

27. Verfahren nach einem der Anspruche 14 bis 26, 
dadurch gekennzeichnet, dafi 

die in einem Sicherheitsanalysator (5*) ablaufenden 
sicherheitsbezogenen Verkniipfungen zumindest teilweise 
redundant in wenigstens einem weiteren 

Sicherheitsanalysator (5") durchgefuhrt und durch beide 
Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsfunktionen ausgefuhrt werden. 

28. Verfahren nach einem der Anspruche 14 bis 27, 
dadurch gekennzeichnet, dafi 

ein Sicherheitsanalysator zumindest teilweise auch eine 
ProzeSdatenverarbeitung durchfuhrt . 
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